Resumen general de la solicitud de datos

Slack se compromete a ofrecer confianza y transparencia

En los próximos documentos y preguntas frecuentes, encontrarás nuestras políticas y directrices sobre las solicitudes de datos procedentes del gobierno y de las entidades de orden público, así como las solicitudes de datos de terceros civiles. También podrás consultar nuestros informes anuales sobre el número de solicitudes que recibimos y nuestras respuestas.

Política de solicitud de datos

Como parte de nuestro compromiso de confianza y transparencia, nuestra Política de solicitud de datos establece las políticas y procedimientos de Slack para responder a las solicitudes de datos de los clientes. Esta política guía nuestras prácticas para las solicitudes de datos de terceros, las solicitudes de las autoridades legales, los avisos al cliente y las solicitudes internacionales de datos.

Informe de transparencia

Salesforce publica todos los años información sobre las solicitudes que recibieron las empresas de Salesforce, incluida Slack, de parte de las autoridades y del gobierno durante el año calendario anterior. Estos informes de transparencia detallan los principios que sigue Salesforce para mantener la confidencialidad de los clientes, el número de solicitudes recibido por año y los datos relacionados con las respuestas. Puedes encontrar los informes de transparencia del año pasado en el Archivo legal de Slack.

Preguntas frecuentes

¿Cómo maneja Slack las solicitudes del gobierno y de las entidades de orden público?

Slack es una plataforma en línea de productividad en el lugar de trabajo, según se describe en nuestra Política de privacidad y Términos de servicio. Si recibimos un requerimiento judicial válido de un gobierno o de una entidad de orden público, es posible que debamos generar datos de los usuarios de conformidad con las leyes aplicables. Nuestra Política de solicitud de datos describe nuestros requisitos para estas solicitudes y nuestro Informe de transparencia muestra el tipo y el volumen de solicitudes del gobierno y las entidades de orden público que recibimos cada año.

¿Dónde debo enviar el requerimiento judicial?

Todas las solicitudes de las entidades gubernamentales y de orden público (incluidas aquellas internacionales) pueden enviarse a nuestro correo electrónico de requerimientos judiciales: legalprocess@slack.com

¿Qué información necesita Slack para procesar mi solicitud?

Además de todos los requisitos legales necesarios y aplicables, todas las solicitudes de requerimientos judiciales deben incluir la siguiente información: (a) la entidad del gobierno o de orden público, (b) la cuestión penal o civil pertinente y (c) la información de identificación del espacio de trabajo de Slack, como los nombres de los clientes y usuarios relevantes, el intervalo de fechas, la dirección URL del espacio de trabajo de Slack (slackname.slack.com) y el tipo de datos solicitado. La solicitud también debe proceder de una cuenta de correo electrónico emitida por el gobierno e incluir la información de contacto completa del funcionario solicitante.

¿Qué sucede cuando Slack recibe una solicitud de una entidad de orden público?

Analizamos minuciosamente que todas las solicitudes tengan validez jurídica y que respeten la privacidad del usuario. Slack puede rechazar o cuestionar cualquier solicitud que sea poco clara, demasiado general o inapropiada.

¿Con qué frecuencia Slack suministra datos al gobierno y a las entidades de orden público?

Nuestro Informe de transparencia detalla el número de solicitudes que recibimos cada año. El presente informe abarca el período comprendido entre el 1 de enero y el 31 de diciembre de 2019; en él se especifican la cantidad de citaciones, órdenes judiciales y otras solicitudes de datos recibidas durante ese año. El informe también incluye el tipo de información que ofrecimos, como datos con contenido y sin contenido.

¿Slack asiste a las entidades del orden público y del gobierno en la vigilancia de las comunicaciones?

Slack no vigila a sus clientes en tiempo real ni concede voluntariamente a los gobiernos acceso a ningún dato de los usuarios con fines de vigilancia. Lee nuestro Informe de transparencia para obtener más información.

¿Slack puede recibir órdenes de vigilancia “upstream” o a gran escala según la Ley de Vigilancia de la Inteligencia Extranjera (FISA) § 702?

No. Al igual que todas las demás plataformas de comunicación de los Estados Unidos, Slack es un servicio de comunicaciones electrónicas (“ECS”) o un servicio de computación remota (“RCS”) (según la definición de los artículos 2510 y 2711 del Título 18 del Código de los Estados Unidos, respectivamente) cuando presta servicios a los clientes. Por lo tanto, es posible que el gobierno de los Estados Unidos notifique una instrucción específica a Slack en virtud de la Ley de Vigilancia de la Inteligencia Extranjera (FISA) § 702.

Sin embargo, Slack no podrá recibir una orden 702 de vigilancia "upstream". Ya que el gobierno de los EE.UU. aplicó la Ley FISA § 702, utiliza las órdenes "upstream" únicamente para dirigir el tráfico que fluye a través de los proveedores de la red troncal de Internet que distribuyen el tráfico a terceros. Consulte el informe de la Junta de Supervisión de la Privacidad y las Libertades Civiles sobre el programa de vigilancia aplicado en virtud del artículo 702 de la Ley de vigilancia de la inteligencia extranjera (2 de julio de 2014), páginas 35 a 40, disponible en https://fas.org/irp/offdocs/pclob-702.pdf. Slack no ofrece estos servicios de red troncal, ya que únicamente se encarga del tráfico de sus propios clientes. Por consiguiente, no reúne las condiciones para recibir el tipo de orden que se aborda principalmente en la sentencia Schrems II que se considera problemática.

¿Slack asiste a las autoridades de los Estados Unidos en la recopilación de información masiva en virtud del Decreto ejecutivo 12333?

Slack no presta ayuda alguna a las autoridades de los Estados Unidos que llevan a cabo la vigilancia en virtud del Decreto ejecutivo 12333. Asimismo, el Decreto ejecutivo 12333 no otorga al gobierno de los Estados Unidos la facultad de obligar a las empresas a prestar asistencia en esas actividades, y Slack no lo hará voluntariamente. En consecuencia, Slack no adopta, ni se le puede ordenar que lo haga, ninguna medida para propiciar el tipo de vigilancia masiva que se realiza en el marco del Decreto ejecutivo 12333.

¿Cómo protege Slack los datos en movimiento y los datos en reposo?

Slack aplica una serie de medidas técnicas y organizativas para contrarrestar los esfuerzos para interceptar, vigilar o acceder de otro modo sin autorización a los datos en tránsito. Por ejemplo, Slack cifra todas las transferencias de datos para impedir la adquisición de esos datos por terceros, como las entidades gubernamentales que pueden tener acceso físico a los mecanismos de transmisión mientras los datos se están transmitiendo. Slack únicamente utiliza el transporte seguro de datos a través de TLS 1.2 sobre HTTPS. Esta función siempre está habilitada para evitar que terceros manipulen o intervengan en las transferencias de datos entre los dos extremos (Slack y nuestros clientes).

Nuestro espacio de trabajo Administración de claves Enterprise ofrece garantías adicionales al crear un registro de auditoría inmutable para que el cliente sea notificado cada vez que se acceda a sus datos. El acto de preservar o producir el contenido de EKM activaría una entrada visible en el registro de acceso disponible para el cliente. Los clientes también pueden anular las claves de cifrado para evitar el acceso a contenidos no cifrados.

¿La aprobación de la Ley CLOUD de EE.UU. afecta la forma en que Slack responde a los requerimientos legales del gobierno de los EE.UU.?

No. La Ley CLOUD, promulgada en 2018, aclaró el alcance geográfico de las solicitudes de las entidades de orden público de los Estados Unidos y creó un fundamento normativo para que empresas como Slack impugnen las solicitudes que entren en conflicto con la legislación extranjera en determinadas circunstancias. La Ley CLOUD no modificó ninguno de los amparos jurídicos y en materia de privacidad preexistentes que se conceden a los datos de los usuarios, y Slack aplica ese mismo análisis riguroso a todos los requerimientos judiciales que se le notifican, entre ellos los emitidos en virtud de la Ley CLOUD.

¿Qué tipo de datos podrían divulgarse como respuesta a un requerimiento judicial de las entidades de orden público o del gobierno?

Los datos de contenido incluyen los datos generados por el usuario; por ejemplo, mensajes públicos y privados, publicaciones, archivos y mensajes directos. Slack requiere una orden de registro para presentar esos datos a entidades de orden público.

Los datos sin contenido se refieren a la información básica de la cuenta (como nombre y dirección de correo electrónico, información de perfil, información de registro, historial de inicio de sesión e información de facturación) y otros metadatos sin contenido (como fecha, hora y remitente/destinatario de mensajes o archivos). Según el tipo de datos solicitados, Slack puede exigir una citación obligatoria o una orden judicial para presentar estos datos.

¿Cuál es la diferencia entre una orden de registro, una orden judicial y una citación de orden público?

Una orden de registro hace referencia a una orden emitida por un juez o magistrado al encontrar una causa probable. Se requiere una orden de registro para obtener el contenido de las comunicaciones.

Una orden judicial se dicta cuando un tribunal determina que el gobierno demostró que existen argumentos razonables para creer que la información solicitada es pertinente y sustancial para una investigación penal en curso. El gobierno puede obtener datos y metadatos básicos sin contenido sobre un espacio de trabajo con una orden judicial, pero no el contenido.

Una citación de orden público es una exigencia de carácter vinculante emitida por una entidad gubernamental para la producción de un conjunto limitado de información, como el nombre, la dirección, la antigüedad en el servicio o los medios y la fuente de pago de un cliente, en sustento de una investigación penal autorizada.

¿Pueden el gobierno y/o las entidades de orden público obtener datos eliminados de Slack?

Generalmente, no. A menos que un Cliente conserve los datos eliminados de acuerdo con sus ajustes de conservación, se borran de los sistemas de Slack inmediatamente después de su eliminación. Una vez eliminados, los datos pueden permanecer en nuestras copias de seguridad durante un período de tiempo limitado (hasta 14 días, pero a menudo el período es inferior). Cuando finaliza el período de copia de seguridad, Slack borra toda la información de nuestros sistemas de producción. En cuanto se eliminan por completo, Slack no puede recuperar los datos para ninguna finalidad, ni siquiera para responder a las solicitudes del gobierno y de entidades de orden público.

¿Cómo maneja Slack las solicitudes de emergencia?

Si tienes una emergencia que implique riesgo de muerte o lesiones físicas graves y crees que Slack tiene datos que pueden ser necesarios para mitigar ese daño, el personal de orden público autorizado debe ponerse en contacto con nosotros enviando un correo electrónico a legalprocess@slack.com y evaluaremos la solicitud.

¿Slack notifica a los clientes antes de presentar los datos a una entidad del gobierno o del orden público?

A menos que se prohíba a Slack hacerlo o que exista una clara indicación de conducta ilegal o riesgo de daño, Slack notificará al cliente, por lo general enviando un correo electrónico al propietario principal, antes de revelar los datos para que el cliente pueda buscar rápidamente asistencia jurídica.

¿Qué sucede con las solicitudes de datos de terceros o civiles?

Los terceros que busquen datos deben contactar directamente al propietario del espacio de trabajo de Slack. Siempre que sea posible, recomendamos a las partes a gestionar sus solicitudes sin nuestra intervención. Los propietarios del espacio de trabajo deberían poder realizar su propia exportación para cumplir con el requerimiento legal correspondiente. Si necesitas ayuda con esas exportaciones, el propietario principal puede contactarnos para saber si cumplen con los requisitos para realizar una exportación por necesidad legal.

Recuerde que la Ley de comunicaciones almacenadas, en el título 18 del Código de los Estados Unidos § 2701 y subsiguientes, prohíbe estrictamente que un proveedor como Slack revele el contenido de las comunicaciones a terceros. Una citación civil u orden judicial civil no es suficiente según el SCA para obtener el contenido de un espacio de trabajo de Slack.